第一篇:大眾測評相關信息整理
大眾測評相關信息整理
其中1—4題是筆試,只需填寫答題卡。5—6題為互動演示模擬。
1.人格特質—30題、7分鐘
考核點:反應速度,分析問題切入點
2.認知能力—70題、30分鐘
考核點:性格特點與行為能力的界定。
3.崗位專業知識—68題、40分鐘
考核點:流程、資源整合4.案例分析—5題、40分鐘
考核點:協作、合作。資源運用,戰略目標定制與執行。
5.情景模擬—5題、共計60分鐘
1)人員激勵:
如何激勵服務經理把客戶滿意度提升
2)團隊績效:
如何讓服務經理把客戶抱怨降底。
3)培訓計劃:
如何與行政經理做前臺的零售內訓。
4)內部溝通:
如何與行政經理一起把員工對搬遷車間辦公室的抱怨處理好。
5)成本控制:
如何找一個成本切入點、并做到內化于心、外化于形、固化于制。在成本控制中,自己是如何以身作則的。以及如何監督與堅持。
6.結構化行為訪談:共計90分鐘
1)成就感:
在以前的工作中回憶一次讓自己很有成就感的事情。說明這件事情對自己信心的提振及如何達成這種成就的。
2)時間管理:
自己是如何管理時間的。在這種管控中如何處理突發事件,對沒完成的時間計劃,是如何對待和補救的。
3)員工抵觸:
在工作中員工有對抗情緒,自己是如何對待的及當時處理的細節。
4)緊急客戶投訴處理:
在重大客戶投訴,自己的處理方法與結果分析。
第二篇:信息測評方案
河劉初中教師信息技術應用能力發展測評工作實施方案
為了貫徹落實《安徽省教育廳關于組織開展全省中小學幼兒園教師信息技術應用能力發展測評工作的通知》(皖教秘師〔2016〕12 號)和《含教秘[2016]80號層安徽省教育廳關于組織開展全省中小學幼兒園教師信息技術應用能力發展測評工作的通知》的要求,全面提升我校教師信息技術應用能力,促進教師轉變教育教學方式,推動廣大教師在課堂教學和日常工作中有效應用信息技術,實現信息技術與教育教學的深度融合,決定組織開展河劉初中教師信息技術應用能力發展測評工作。依據我校實際,特制定此方案。
一、目標任務
開展中小學幼兒園教師信息技術應用能力發展測評是我省組織實施信息技術應用能力提升工程的重點工作,按照“以評促學、以評促用”原則,重在評價教師應用能力發展水平,發展測評分為初級水平、中級水平和高級水平三個等級。通過發展測評,檢驗我省實施信息技術應用能力提升工程的成效,提升教師信息技術應用能力、學科教學能力和專業自主發展能力,強化生成性資源建設,建立優質資源庫,促進優質資源共建共享,逐步建立教師主動應用機制,激發教師應用信息技術開展課堂教學、進行日常工作的主動性。
二、組織機構
為了做好我校信息技術應用能力發展測評工作,學校成立測評工作領導小組。
組長:張孟前
成員:胡之紅、黃凌華、童良駿、李開權 下設專家組,成員: 龔劍利、季益強、徐克清
三、測評對象
國培計劃(2014)——安徽省中小學幼兒園教師信息技術應用能力提升工程項目、2014省電教館組織的信息技術應用培訓、2014樂高培訓和國培計劃(2015)--安徽省鄉村教師網絡研修項目、國培計劃(2015)——安徽省中小學幼兒園教師信息技術應用能力提升工程項目、2015年樂高培訓。結合我校實際,參加以上培訓項目且成績合格的老師必須參加測評工作。
四、測評內容
中小學教師信息技術應用能力發展測評,主要了解教師信息技術應用能力提升程度,依據能力評價標準,科學評價能力發展的等級水平。測評內容注重聯系教師教育教學和專業發展實際,反映教師應用信息技術優化課堂教學、轉變學生學習方式、促進自身專業發展的程度。
五、測評形式
中小學教師信息技術應用能力發展測評采用情境作品評審和相應的教學設計審查的方式進行。情境作品是指參評教師提交的反映其教學實踐過程中運用信息技術進行課堂教學的視頻,教學設計是教師組織課堂教學的方案(文本)。
六、測評實施
1、時間安排
發展測評工作將于4月份啟動,6月底結束。全程分為四個階段實施:
第一階段(3月底-4月15日),宣傳布置,以教研組為單位宣傳、學習《安徽省中小學教師信息技術應用能力發展測評評價標準(試行)》主要內容,學校將組織一期教師沙龍,學習信息技術應用能力測評工作相關文件及如何準備情境作品;
第二階段(4月15日-5月1日),各學科老師提交情境作品和相應的教學設計,或提交免測材料;
第三階段(5月1日-5月中下旬),學校組織專家評審教師作品,各學科老師在打磨提交作品基礎上上傳到安徽省中小學教師繼續教育選學平臺測評系統;
第四階段(6月中旬-6月下旬),省教育廳組織抽查,發展測評工作總結評估,發放發展測評證書。
2、情境作品提交和教學設計的提交
所有參加測評的老師作品首先要經過學校初審打磨,最終提交方式參照《含教秘[2016]80號轉發安徽省教育廳關于組織開展全省中小學幼兒園教師信息技術應用能力發展測評工作的通知》執行。
3、免試條件及申報
參照《含教秘[2016]80號轉發安徽省教育廳關于組織開展全省中小學幼兒園教師信息技術應用能力發展測評工作的通知》執行。
七、測評管理
領導組負責全校教師信息技術應用能力發展測評的統籌規劃、協調指導和測評監管等工作。組織參評教師按時提交情境作品,組織專家對本校申報初級等次的參評教師提交的情境作品進行評審,對申請免試初級等次的獲獎證書進行審核。負責本校申請免測教師提供的獲獎證書的真實性進行審核。
含山縣河劉初中 2016年4月18日
第三篇:國家信息安全測評
國家信息安全測評
信息安全服務資質申請指南
(風險評估一級)
?版權2014—中國信息安全測評中心
2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
目錄
目錄 2 引言 3
一、認定依據................................................................................................................................4
二、級別劃分................................................................................................................................4三、一級資質要求........................................................................................................................4
3.1 基本資格要求...................................................................................................................5 3.2 基本能力要求...................................................................................................................5
3.2.1 組織與管理要求.....................................................................................................5 3.2.2 技術能力要求.........................................................................................................5 3.2.3 人員構成與素質要求.............................................................................................6 3.2.4 設備、設施與環境要求.........................................................................................6 3.2.5 規模與資產要求.....................................................................................................6 3.2.6 業績要求.................................................................................................................6 3.3 安全風險評估過程能力要求...........................................................................................6 3.4 項目和組織過程能力要求...............................................................................................7
四、資質認定................................................................................................................................8
4.1認定流程圖........................................................................................................................8 4.2申請階段.............................................................................................................................9 4.3資格審查階段.....................................................................................................................9 4.4能力測評階段.....................................................................................................................9
4.4.1靜態評估..................................................................................................................9 4.4.2現場審核................................................................................................................10 4.4.3綜合評定................................................................................................................10 4.4.4資質審定................................................................................................................10 4.5證書發放階段...................................................................................................................10
五、監督、維持和升級..............................................................................................................11
六、處置......................................................................................................................................11
七、爭議、投訴與申訴..............................................................................................................11
八、獲證組織檔案......................................................................................................................12
九、費用及周期..........................................................................................................................12
十、聯系方式..............................................................................................................................13
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
引言
中國信息安全測評中心是經中央批準成立的國家信息安全權威測評機構,職能是開展信息安全漏洞分析和風險評估工作,對信息技術產品、信息系統和風險評估的安全性進行測試與評估。對信息安全服務和人員的資質進行審核與評價。
中國信息安全測評中心的主要職能是:
1.為信息技術安全性提供測評服務; 2.信息安全漏洞分析; 3.信息安全風險評估;
4.信息技術產品、信息系統和風險評估安全測試與評估; 5.信息安全服務和信息安全人員資質測評; 6.信息安全技術咨詢、風險評估監理與開發服務。
“信息安全服務資質認定”是對信息安全服務的提供者的技術、資源、法律、管理等方面的資質、能力和穩定性、可靠性進行評估,依據公開的標準和程序,對其安全服務保障能力進行評定和確認。為我國信息安全服務行業的發展和政府主管部門的信息安全管理以及全社會選擇信息安全服務提供一種獨立、公正的評判依據。
本指南適用于所有向CNITSEC申請信息安全服務資質(風險評估一級)的境內外組織。
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
一、認定依據
信息安全服務(風險評估類)資質認定是對信息安全風險評估服務提供者的資格狀況、技術實力和信息安全風險評估實施過程質量保證能力等方面的具體衡量和評價。
信息安全服務(風險評估類)資質級別的評定,是依據《信息安全服務資質評估準則》和不同級別的信息安全服務資質(風險評估類)具體要求,在對申請組織的基本資格、技術實力、信息安全風險評估服務能力以及安全風險評估項目的組織管理水平等方面的評估結果基礎上的綜合評定后,由中國信息安全測評中心給予相應的資質級別。
二、級別劃分
信息安全服務(風險評估類)資質認定是對信息安全風險評估服務提供者的綜合實力的客觀評價和確認,信息安全服務(風險評估類)資質級別反映了信息安全風險評估服務提供者從事信息安全風險評估服務保障能力的成熟程度。資質級別劃分的主要依據包括:基本資格與基本能力要求、安全風險評估過程能力要求、項目與組織管理能力要求和其他補充要求等。
信息安全服務資質分為五個級別,由一級到五級依次遞增,一級是最基本級別,五級為最高級別。
一級:基本執行級 二級:計劃跟蹤級 三級:充分定義級 四級:量化控制級 五級:持續改進級三、一級資質要求
申請信息安全服務(風險評估一級)資質的組織需要在基本資格和基本能力、發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
安全風險評估過程能力和項目與組織過程能力等幾個方面符合《信息安全服務資質具體要求(風險評估一級)》的規定。
3.1 基本資格要求
申請信息安全服務(風險評估一級)資質的組織必須是一個獨立的實體,具有工商行政管理部門頒發的營業執照,并遵守國家現行法律法規。
3.2 基本能力要求 3.2.1 組織與管理要求
1.必須擁有健全的組織和管理體系,為持續的信息安全風險評估服務提供保障;
2.必須具有專業從事信息安全風險評估服務的隊伍和相應的質量保證; 3.與安全風險評估服務相關的所有成員要簽訂保密合同,并遵守有關法律法規。
3.2.2 技術能力要求
1.了解信息系統技術的最新動向,有能力掌握信息系統的最新技術; 2.具有不斷的技術更新能力;
3.具有對信息系統的狀況進行調研、分析和描述的能力;
4.具有對信息系統面臨的安全威脅、存在的安全隱患進行信息收集、識別、分析能力;
5.具有對信息系統的資產及其影響進行識別、分析和評估的能力; 6.具有對信息系統的脆弱性進行識別分析和評估的能力; 7.具有根據信息安全風險的結果提出應對安全措施的能力; 8.具有應用國際國內最新信息安全風險評估方法的能力; 9.有跟蹤、了解、掌握、應用國際、國家和行業標準的能力。
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
3.2.3 人員構成與素質要求
1.具有充足的人力資源和合理的人員結構;
2.所有與信息安全服務有關的管理和銷售人員應具有基本的信息安全知識;
3.有相對穩定的從事信息安全風險評估服務的技術隊伍;
4.技術骨干人員應系統地掌握信息系統安全基礎理論和核心技術,并有足夠的專業工作經驗;
5.必須有2名以上(含2名)專職的注冊信息安全專業人員(CISP)。
3.2.4 設備、設施與環境要求
1.具有固定的工作場所和良好的工作環境;
2.具有實施信息安全風險評估服務的相關工具和設備。
3.2.5 規模與資產要求
1.有足夠的注冊資金和充足的流動資金;
2.具有與所申請安全服務業務范圍、承擔的安全風險評估規模相適應的服務體系;
3.有足夠的人員從事直接與信息安全風險評估服務相關的活動。
3.2.6 業績要求
1.應有從事信息安全風險評估服務的經驗;
2.近3年內在信息安全風險評估服務方面,沒有出現驗收未通過的情況。
3.3 安全風險評估過程能力要求
安全風險評估過程能力是評價信息安全風險評估服務專業水平高低的標志。申請組織應能實施以下6個安全風險評估過程域: 1.風險評估準備
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
2.評估系統資產的影響; 3.評估系統存在的脆弱性; 4.評估系統面臨的安全威脅; 5.評估系統已有的安全措施; 6.評估系統的安全風險。
3.4 項目和組織過程能力要求
項目和組織過程能力是評價信息安全風險評估服務規范性和質量保證成熟度標志。
申請組織應能實施以下6個項目和組織過程域: 1.質量保證; 2.管理項目風險; 3.規劃技術活動; 4.監控技術活動;
5.提供不斷發展的技能和知識; 6.與供應商協調。
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
四、資質認定
4.1認定流程圖
申請委托人申請不受理形式化審查申請階段資格審查階段受理決定受理靜態評估現場審核限期整改綜合評定不通過綜合評定通過資質審定不通過發證決定抽樣檢查通過證書發放不予發證能力測評階段證書發放階段公告證后監督證后監督階段
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
4.2申請階段
申請組織應首先到CNITSEC網站(http://www.tmdps.cnITSEC,同時提交申請費。在向CNITSEC遞交申請書前,須逐項檢查所填報的材料的完整性和正確性。
4.3資格審查階段
CNITSEC接到正式申請書及相關資料以及申請費后,根據所提交的資料進行資格審查,以確認申請單位是否滿足資質的基本資格要求,提交資料是否完整。
資格審查包括對申請單位所提交資料進行的形式化審查以及對申請單位的進一步調查和溝通。如果資格審查階段發現有不符合要求的內容,CNITSEC將要求申請組織補充資料等。
當通過資格審查階段后,CNITSEC將與申請組織簽訂合同,正式受理該申請,并通知相關費用的繳納事宜等。
4.4能力測評階段
當申請組織通過資格審查并繳納了相關費用后,資質申請進入能力測評階段。
能力測評階段包括靜態評估、現場審核、綜合評定和資質審定四個步驟。
4.4.1靜態評估
靜態評估是對申請組織資料進行符合性審查,是對申請組織的信息安全風險評估服務能力做出基本判斷,初步確定申請組織的信息安全風險評估服務能力水 發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
平狀況,為現場審核做準備。如果在靜態評估階段發現申請組織的信息安全風險評估能力不能滿足資質要求,將要求申請組織進行整改,待整改完成達到后進入現場審核階段。
4.4.2現場審核
現場審核是對申請組織從事信息安全風險評估服務的綜合能力(包括技術能力、管理能力、質量保證、設施設備、工作環境、人員構成及素質、經營業績、資產狀況等方面)進行核實和確認。
通過靜態評估后,CNITSEC將與申請組織溝通現場審核事宜,安排審核組進行現場審核。
現場審核若發現需整改的不符合項,審核組將對申請組織提出限期整改的要求,并對整改效果進行驗證。
4.4.3綜合評定
在綜合評定階段,將依據靜態評估和現場審核結果,對申請組織的基本資格、基本能力、信息安全風險評估服務能力以及資質所要求的其他內容進行綜合評定,出具綜合評定報告。
對評定結果不符合的,CNITSEC將要求申請組織限期整改。申請組織完成整改并向CNITSEC提交整改報告后,CNITSEC將對整改結果進行驗證,整改仍不符合的,將不能通過能力測評。逾期未整改的,視作整改不符合。
4.4.4資質審定
根據綜合評定的報告,CNITSEC技術委員會將組織技術專家對申請組織的信息安全風險評估服務資質進行審查,并最終做出是否通過的決定。
4.5證書發放階段
資質審定通過后,CNITSEC將進行資質證書的制作、審批和發放,并在網站、報刊雜志等媒體上公布獲證組織的相關信息。
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
五、監督、維持和升級
獲得資質的組織需通過持續發展自身信息安全服務體系以保持基本能力及安全風險評估過程能力。CNITSEC將通過申訴系統、現場見證以及對信息安全服務項目進行抽樣檢查來驗證每個獲得資質組織的能力。
證書在三年有效期內實行年確認制度,每三年進行一次維持換證。獲證后,每年在證書簽發之日前30天內,獲證組織要向CNITSEC提交調查表,并到CNITSEC辦理年檢。CNITSEC年檢中發現獲證組織不符合資質認定要求的,將要求其限期整改,整改后仍不合格,CNITSEC將暫停或取消證書。
在證書有效期屆滿前90天內,由獲證組織提出維持換證申請。CNITSEC將依據信息安全服務資質維持有關政策進行評審,以確定獲證組織符合信息安全風險評估服務能力一級資質要求的持續性。
若獲證組織相關資料變動時,須及時通知CNITSEC,并申請更改。若獲證組織實體發生變化,需要進行資質證書的轉移,可到CNITSEC網站(http://www.tmdps.cnITSEC申請二級資質。
六、處置
獲證組織存在違規行為時,CNITSEC有權視組織違規情節輕重予以以下處置:警告、限期整改、暫停證書、取消證書。
七、爭議、投訴與申訴
對CNITSEC所作的評審、復查、處置等決定有異議時,可向CNITSEC提出書面申訴。CNITSEC將會責成與所申訴、投訴事項無利益相關的人員進行調查,CNITSEC在調查基礎上做出結論。
發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
獲證組織應妥善處理因自身行為而發生的投訴,保留記錄并采取措施防止問題的再發生。CNITSEC將在必要時查閱獲證組織的申訴/投訴記錄。
八、獲證組織檔案
CNITSEC將對每個獲證組織建立專項檔案,所有資料將保存10年以上。
九、費用及周期
信息安全服務資質認定收費劃分為如下四個部分:
(一)申請費:2000元
(二)測評費:3000元/人日
(三)審定與注冊費(含證書費):3000元
(四)年金(含標志使用費):5000元/年
未獲得安全工程類服務資質的機構,首次申請風險評估資質(一級)費用: 2000(申請費)+3000×3×2(三人二日測評費)+3000(審定與注冊費)+15000(三年年金)=38000元。
未獲得安全工程類服務資質的機構,風險評估資質(一級)維持費用: 2000(申請費)+3000×2×2.5(二人二日半測評費)+3000(審定與注冊費)+5000(三年年金)=35000元。
已獲得安全工程類服務資質的機構,申請風險評估資質(一級)費用(首次申請和維持):
2000(申請費)+3000×3×0.5(三人二日測評費)+3000(審定與注冊費)=9500元
已獲得安全工程類服務資質的機構申請風險評估資質時不再重復收取年金。
申請組織還應承擔因現場審核活動審核組成員所發生的交通和食宿費用。
從受理到頒發證書的周期為四個月,但由于申請方原因(如,資料補充需要的時間等)造成的時間延誤不計算在內。發布日期:2014年5月1日
中國信息安全測評中心(CNITSEC)信息安全服務資質申請指南(安全風險評估一級)
十、聯系方式
名 稱:中國信息安全測評中心 資質評估處 地 址:中國北京市海淀區上地西路8號院1號樓 郵 編:100085 傳 真:010-82341100 咨詢電話:
資質受理: 010-82341582、010-82341568 證后管理: 010-82341553
發布日期:2014年5月1日
第四篇:信息安全等級測評實施細則(稿)
信息安全等級保護等級測評實施細則
第一章 總則
第一條【目的】為加強信息安全等級測評機構建設和管理,規范等級測評活動,保障信息安全等級保護制度的貫徹落實,根據《信息安全等級保護管理辦法》等有關規范制訂本實施細則。
第二條【適用范圍】本細則適用于等級測評機構、測評人員和測評活動的規范管理。
第三條【等級測評定義】等級測評是測評機構依據國家信息安全等級保護制度規定,受有關單位委托,按照有關管理規范和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。
第四條【測評機構定義】測評機構是經有關部門能力認可,經有關部門推薦,在一定范圍內從事信息系統安全等級測評等工作的專業技術機構。
第五條【基本原則】測評機構應當按照有關規定和統一標準提供“客觀、公正、安全”的測評服務,按照統一的測評報告模版出具測評報告。
第六條【保密要求】測評機構和測評人員應當遵守《國家保密法》的規定,保守在測評活動中知悉的國家秘密、商業秘密、敏感信息和個人隱私等。
第七條【管理體制】測評機構應當接受各級信息安全等級保護協調(領導)小組和公安網安部門的監督管理,并接受有關部門的業務管理和技術指導。
第二章 測評機構
第八條【總體要求】測評機構分為地區性、行業性測評機構,按照屬地管理和行業管理相結合的原則進行建設和管理。
第九條【職責分工】國家信息安全等級保護協調小組辦公室主管等級測評機構的建設和管理工作,指導行業等級測評機構的建設和管理工作,并委托專門的技術能力審驗機構對測評機構的技術能力進行評估、審查并確認。
各省(區、市)等級保護協調(領導)小組辦公室負責本地等級測評機構的建設管理工作。
第十條【基本條件】申請成為等級測評機構的單位(以下簡稱申請單位)應當具備以下基本條件:
(一)在中華人民共和國境內注冊成立(港澳臺地區除外);
(二)由中國公民投資、中國法人投資或者國家投資的企事業單位(港澳臺地區除外);
(三)產權關系明晰,注冊資金100萬元以上;
(四)從事信息系統檢測評估相關工作兩年以上;
(五)單位法人及主要工作人員僅限于中華人民共和國境內的中國公民,且無犯罪記錄;
(六)具有勝任等級測評工作的專業技術人員和管理人員,大學本科(含)以上學歷所占比例不低于80%。其中測評技術人員不少于10人;
(七)具備必要的辦公環境、設備、設施及完備的安全管理制度;
(八)對國家安全、社會秩序、公共利益不構成威脅;
(九)應當具備的其他條件。
第十一條【申請提交】地方申請單位應向屬地省(區、市)等級保護協調(領導)小組辦公室提交申請,行業申請單位向國家信息安全等級保護工作協調小組辦公室提交申請,并填寫申請書,申請成為等級測評機構。
第十二條【申請材料】申請單位在申請時應提供以下材料,并對申請材料的真實性負責。
(一)《信息安全等級保護測評機構申請書》;
(二)當地公安網安部門的推薦意見;
(三)營業執照及其他注冊證明文件;
(四)《內設組織機構與崗位設置情況表》;
(五)《工作人員基本情況表》、證明材料和聲明;
(六)《辦公場地、設備與設施情況表》;
(七)《安全測評設備、工具配備情況表》;
(八)信息系統安全測評能力報告;
(九)保密管理、項目管理、質量管理、人員管理和培訓教育等相關管理文件;
(十)需要提供的其他材料。
第十三條【初審】省級(含)以上等級保護協調(領導)小組辦公室收到申請材料后,應在30日內完成初審。
第十四條【技術能力審驗】初審通過的,由技術能力審驗機構評估、審查并確認申請單位的技術能力。
技術能力審驗周期最長為一個月。審驗期滿前,技術能力審驗機構應向等級保護協調(領導)小組辦公室出具審驗意見,并加蓋專門印章。
第十五條【核準】省級(含)以上等級保護協調(領導)
小組辦公室對通過技術能力審驗的申請單位進行復核,并出具核準意見。
第十六條【目錄公布】測評機構實行目錄管理。各省級信息安全等級保護協調(領導)小組辦公室公布本地等級測評機構目錄,并向國家信息安全等級保護工作協調小組辦公室備案。國家信息安全等級保護工作協調小組辦公室公布《全國信息安全等級測評機構目錄》。
第十七條【業務范圍】測評機構應當在規定的業務范圍內開展測評業務。
(一)地方測評機構在本地開展測評業務,行業測評機構在行業內開展測評業務。行業測評機構在地方開展測評業務前,應與本地等級保護協調(領導)小組辦公室協調;
(二)承擔有關部門委托的安全測評專項任務;
(三)配合當地公安網安部門對信息系統進行監督、檢查;
(四)開展風險評估、信息安全培訓、咨詢服務和信息安全工程監理;
(五)為當地信息安全等級保護工作提供技術支持和服務;
(六)其他有關文件規定的職責任務。
第十八條【禁止行為】測評機構不得從事下列活動:
(一)承擔信息系統安全建設整改工作;
(二)將等級測評任務分包、外包;
(三)信息安全產品開發、營銷和信息系統集成活動;
(四)限定被測評單位購買、使用其指定的信息安全產品;
(五)未經許可占有、使用有關測評信息、資料及數據文件;
(六)其他可能影響測評客觀、公正的活動。第十九條【風險告知】在開展測評過程中,對可能影響信息系統正常運行的,測評機構應當事先告知被測評單位,并協助其采取相應的預防措施。
第二十條【人員管理】測評機構應當建立完備的人員檔案,嚴格履行人員錄用、考核、離崗等程序,對進入重要信息系統進行測評的人員,應該進行背景審查,確保人員可靠。
第二十一條【制度管理】測評機構應當建立并落實保密管理、項目管理、質量管理、人員管理、培訓教育等管理制度。
第二十二條【能力建設】測評機構要加強技術能力和管理能力建設,應在測評機構推薦目錄公布后兩年內至少通過一項實驗室或檢查機構資質認定。
第三章 人員管理
第二十三條【人員要求】測評人員應遵守國家有關法律法規、技術標準和測評人員行為準則,認真履行本細則規定 的責任和義務,為用戶提供安全、客觀、公正的測評服務,保證測評的質量和效果。
第二十四條【個人聲明】測評人員應當提供本人社會背景、工作經歷和獎懲情況的證明材料,聲明相關材料的真實性并承擔法律責任。
第二十五條【持證上崗】測評人員上崗前應接受培訓,培訓合格的由測評機構頒發上崗證。測評人員持證上崗。
第二十六條【分級管理】測評機構技術人員實行分級管理,由低到高分為初級等級測評師、中級等級測評師和高級等級測評師。
測評技術人員應當接受專門業務培訓,考試合格的獲得等級測評師證書。
第二十七條【培訓與考試】國家信息安全等級保護協調小組辦公室制定并公布培訓計劃,指定專門培訓機構具體承擔等級測評師的培訓、考試工作。專門培訓機構向考試合格的人員頒發等級測評師證書。
第二十八條【證書管理】專門培訓機構依據等級測評師證書管理辦法辦理證書的審核、頒發、建檔、公布、查詢、年審、換發和撤銷,并向省級以上等級保護工作協調小組辦公室備案。
第二十九條【備案】行業測評機構每年應將本單位等級測評師培訓、獲證情況向國家信息安全等級保護工作協調小組辦公室備案。
地方測評機構每年應將本單位等級測評師培訓、獲證情況向本省(區市)等級保護協調(領導)小組辦公室備案。
各地等級保護協調(領導)小組辦公室每年應將本地等級測評師培訓、獲證情況向國家等級保護協調小組辦公室備案。
第三十條【年審管理】等級測評師實行年審制度。專門培訓機構對等級測評師每年進行一次年審,并將年審結果報等級保護協調(領導)小組辦公室。
對未通過年審的等級測評師,測評機構應暫停其開展測評工作。專門培訓機構應對年審不通過的等級測評師開展培訓。
第三十一條【變更告知】等級測評機構的主要管理人員和技術人員工作變動的,應及時到等級保護協調(領導)小組辦公室變更備案。
第三十二條【人員法律責任】測評人員在測評工作中具有徇私舞弊、收受賄賂等違反有關法律法規行為的,應由專門培訓機構撤銷違規人員等級測評師證書,并按照有關規定進行處罰。
第四章 測評活動
第三十三條【用戶要求】信息系統運營使用單位應當選擇《等級測評機構推薦目錄》中的等級測評機構,定期對信息系統開展等級測評,并加強對測評過程的監督管理。
第三十四條【整改前測評】信息系統安全建設整改前,信息系統運營使用單位可以選擇測評機構進行等級測評,掌握信息系統安全狀況,排查系統安全隱患和薄弱環節,明確安全建設整改需求。
第三十五條【整改后測評】信息系統安全建設整改后,信息系統運營使用單位應當再選擇測評機構進行等級測評,檢測系統安全保護狀況與標準要求的符合性,進一步查找安全隱患和問題,并進行風險分析,為進一步整改提供依據。
第三十六條【定期測評】第三級以上(含)信息系統應當每年至少進行一次等級測評,測評完成后,信息系統運營使用單位應及時向受理備案的公安機關提交測評報告。
第三十七條【測評機構規范】測評機構應建立規范的質量管理體系,依據《信息系統安全等級保護測評要求》等標準規范對信息系統進行測評,按照公安部制訂的信息系統安全等級測評報告格式編制測評報告。
第三十八條【測評費用】測評機構應當參照國家信息化工程建設項目人工計費標準合理收取測評服務費用。為防止惡意競爭,影響測評質量,測評機構開展測評業務收費應當不低于最低收費限額。
第三十九條【安全責任】測評機構應當針對等級測評工作制定保密管理規范,明確保密崗位與職責,定期對工作人員進行保密教育,與其簽訂《保密責任書》,規定應當履行的安全保密義務和承擔的法律責任,并負責檢查落實。
第五章 監督管理
第四十條【監管主體】各級等級保護協調(領導)小組辦公室對等級測評機構、測評人員、測評活動等進行監督、檢查,處理對測評機構的投訴。
第四十一條【年審】各級等級保護工作協調(領導)小組辦公室對備案的測評機構及測評人員實施年審管理,每年對測評機構的能力和工作進行審核、審查,并公布審核、審查結果。
第四十二條【機構違規】測評機構違反規定,情節輕微的,由等級保護協調領導機構辦公室責令其限期改正或予以通報、警告。
測評機構出現以下情況之一的,按照相應規定和程序,由等級保護協調(領導)機構決定撤銷其測評機構資格并及時向社會公告。
(一)違反法律、法規并被起訴的;
(二)發生重大泄密事件的;
(三)運營管理不規范,嚴重影響測評質量,經整改仍無法達到要求的;
(四)與被測評單位共同隱瞞在安全評估過程中發現的安全漏洞,未按要求寫入評估報告的;
(五)在評估過程中弄虛作假,編造安全評估報告的;
(六)不履行規定的責任和義務,經通報批評、警告仍不改正的;
(七)測評機構成立后一年內不開展測評業務的;
(八)由于自身原因主動提出退出的;
(九)連續兩次年審未通過的;
(十)違反其他有關規定的。
第四十三條【爭議處理】測評機構應當嚴格遵循申訴、投訴及爭議處理制度,妥善處理爭議事件,及時采取糾正和改進措施。
第四十四條【監督自身要求】各級等級保護協調(領導)小組辦公室應嚴格依照本細則的有關規定,按照公平、公正的原則開展監督檢查工作。
第四十五條【變更】測評機構性質、經營(業務)范圍、隸屬關系、法定代表人等重要事項發生變化的,應在30日內向等級保護協調(領導)機構辦理變更手續。
第五篇:信息安全等級保護測評
TopSec可信等級體系 天融信等級保護方案
Hacker.cn 更新時間:08-03-27 09:37 來源:硅谷動力 作者:中安網
1.等級保護概述
1.1為什么要實行等級保護?
信息系統與社會組織體系是具有對應關系的,而這些組織體系是分層次和級別的,因此各種信息系統是具有不同等級的重要性和社會、經濟價值的。對信息系統的基礎資源和信息資源的價值大小、用戶訪問權限的大小、大系統中各子系統的重要程度進行區別對待就是級別的客觀要求。信息安全必須符合這些客觀要求,這就需要對信息系統進行分級、分區域、分階段進行保護,這是做好國家信息安全的必要條件。
1.2等級保護的政策文件
信息安全等級保護工作非常重要,為此從2003年開始國家發布了一系列政策文件,具體如下:
2003年9月,中辦國辦頒發《關于加強信息安全保障工作的意見》(中辦發[2003]27號),這是我國第一個信息安全保障工作的綱領性文件,戰略目標為經過五年努力,基本形成國家信息安全保障體系,實行等級保護制度。
2004年11月,四部委會簽《關于信息安全等級保護工作的實施意見》(公通字[2004]66號):等級保護是今后國家信息安全的基本制度也是根本方法、等級保護制度的重要意義、原則、基本內容、工作職責分工、工作要求和實施計劃。2005年9月,國信辦文件,《關于轉發《電子政務信息安全等級保護實施指南》的通知》(國信辦[2004]25號):基本原理、定級方法、安全規劃與設計、實施與運營、大型復雜電子政務系統等級保護過程。
2005年,公安部標準:《等級保護安全要求》、《等級保護定級指南》、《等級保護實施指南》、《等級保護測評準則》。
2006年1月,四部委會簽《關于印發《信息安全等級保護管理辦法的通知》(公通字[2006]7號)。
1.3 等級保護的管理結構-北京為例
等級保護的實施和落實離不開各級管理機構的指導和監督,這在等級保護的相關文件中已經得到了規定,下面以北京市為例來說明管理機構的組成和職責,具體如下圖所示:
1.4等級保護理論的技術演進
在等級保護理論被提出以后,經過相關部門的努力工作,逐漸提出了一系列原則、技術和框架,已經具備實施等級保護工作的基礎條件了,其具體演進過程如下圖所示:
1.5等級保護的基本需求
一個機構要實施等級保護,需要基本需求。由于等級保護是國家推動的旨在規范安全工作的基本工作制度,因此各級組織在這方面就存在如下需求:
(1)政策要求-符合等級保護的要求。系統符合《基本要求》中相應級別的指標,符合《測評準則》中的要求。
(2)實際需求-適應客戶實際情況。適應業務特性與安全要求的差異性,可工程化實施。
1.6基本安全要求的結構
對系統進行定級后,需要通過努力達到相應等級的基本安全要求,在總體上分為技術要求和管理要求,技術上又分為物理安全、網絡安全、主機安全、應用安全、數據安全,在管理要求中又分為安全管理機構、安全管理制度等5項,具體如下圖所示:
2.等級保護實施中的困難與出路
由于等級保護制度還處于探討階段,目前來看,尚存在如下困難:
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統,否則:
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵要求指標超出《基本要求》規定
針對上述問題,在下面幾小節分別給出了堅決辦法。
2.1安全體系設計方法
需求分析-1
問題1:標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
需求:從組織整體出發,綜合考核所有系統
方法:引入體系設計方法
2.2保護對象框架設計方法
需求分析-2
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
需求:準確地進行大系統的分解和描述,反映實際特性和差異性安全要求
方法:引入保護對象框架設計方法
保護對象框架-政府行業
保護對象框架-電信行業
保護對象框架-銀行業
2.3安全平臺的設計與建設方法
需求分析-3
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
需求:統一規劃,集中建設,避免重復和分散,降低成本,提高建設水平
方法:引入安全平臺的設計與建設方法
平臺定義:為系統提供互操作性及其服務的環境
2.4建立安全運行體系
需求分析-4
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
需求:建立長效機制,建立可持續運行、發展和完善的體系
方法:建立安全運行體系
2.5安全運維工作過程
需求分析-5
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
需求:需要高水平、自動化的安全管理工具
方法:TSM安全管理平臺
2.6 TNA可信網絡架構模型
需求分析-6
1.標準中從“單個系統”出發,但實際工作是從組織整體出發,整體考慮所有系統
a)各系統單獨保護,將沖突和割裂,形成信息孤島
b)復雜大系統的分解和差異性安全要求描述很困難
c)各系統安全單獨建設,將造成分散、重復和低水平
2.在建立長效機制方面考慮較少,難以做到可持續運行、發展和完善
3.管理難度太大,管理成本高
4.大型客戶最關注的關鍵指標超出《基本要求》規定
需求:在《基本要求》基礎上提出更強的措施,滿足客戶最關注的指標
方法:引入可信計算的理念,提供可信網絡架構
3.總體解決方案-TopSec可信等級體系
按照上面解決等級保護目前困難的方法,總體解決方案就是建立TopSec可信等級體系:
遵照國家等級保護制度、滿足客戶實際需求,采用等級化、體系化和可信保障相結合的方法,為客戶建設一套覆蓋全面、重點突出、節約成本、持續運行的安全保障體系。
實施后狀態:一套持續運行、涵蓋所有安全內容的安全保障體系,是企業或組織安全工作所追求的最終目標
特質:
等級化:突出重點,節省成本,滿足不同行業、不同發展階段、不同層次的要求
整體性:結構化,內容全面,可持續發展和完善,持續運行
針對性:針對實際情況,符合業務特性和發展戰略
3.1可信等級體系設計方法
3.2信息安全保障體系總體框架
3.3體系設計的成果
安全組織體系
安全策略體系
安全技術體系
安全運行體系
3.4安全體系的實現
4.成功案例
某國有大型企業已經采用了我們的可信等級體系,取得了良好的效果。
點擊咨詢 